Периодический контроль – незаслуженно игнорируемая Владельцами аттестованных объектов процедура поддержания уровня безопасности. А к вопросу проведения переаттестации Владельцы аттестованного объекта обращаются лишь по двум причинам:
Зачастую, у Владельцев аттестованных объектов нет полноты понимания, каким образом содержать свой объект в соответствии с требованиями законодательства. В процессе «погружения» в тему и поиска информации многие натыкаются на термин – Периодический контроль. Данное мероприятие неразрывно связано с аттестованными по требованиям ФСТЭК объектами информатизации. Так в чем же разница между Периодическим контролем и Переаттестацией? Разберемся ниже.
Периодический контроль – процесс проводится на регулярной основе. В зависимости от объекта, он может проводится с периодичностью в 6 месяцев, год или два. В особых случаях можно еще уменьшить срок, если безопасность объекта имеет критическое значение и должна постоянно находиться в актуальном состоянии и под пристальным контролем.
Вышедший в 2021 году «Порядок организации и проведения работ по аттестации …», утвержденный Приказом ФСТЭК №77, в пунктах 31, 32 описывает условия проведения периодического контроля и отправки отчетности в ФСТЭК России.
Из ключевых моментов:
– Владелец аттестованного объекта информатизации обеспечивает проведение периодического контроля уровня защиты информации на аттестованном объекте информатизации.
– Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).
Владелец обязан проводить регулярные периодические контроли уровня защиты информации на аттестованном объекте. Не реже чем раз в 2 года отправлять отчетные материалы (протоколы) о проведенных работах в ФСТЭК России.
Очень часто владельцами аттестованных объектов идет подмена понятий. Требования п.32 пытают интерпретировать как – «Проводить периодический контроль не реже одного раза в два года». Такая постановка вопроса в корне не верна. Пункт 32 лишь регламентирует максимальный временной промежуток между передачей протоколов контроля защиты. Если в этот промежуток не уложиться ФСТЭК будет иметь все основания приостановить действие Аттестата соответствия на объект. Если же аттестованный объект был заявлен как место осуществления лицензируемых видов деятельности, то ФСТЭК и вовсе может инициировать проверку по соблюдению лицензионных требований лицензиатом.
В целом, порядок действий довольно прост:
Возвращаясь к «Порядку организации и проведения работ по аттестации …», утвержденному Приказом ФСТЭК №77, то как таковой термин «Переаттестация» в этом документе не фигурирует. Нам нужен пункт 33, который предписывает действия в случае модернизации аттестованного объекта. Два основных момента:
Примечание: Сейчас, в законодательном плане, многие объекты находятся в состоянии перехода от старых требований к новым. Другими словами, если аттестат соответствия был выдан до 01.09.2021, то процесс аттестации проводился еще по старым требованиям и Аттестат соответствия был со сроком действия (как правило 3 года). Т.е. Владельцы некоторых аттестованных объектов сейчас только подходят к вопросу переаттестации своих объектов по причине истечения сроков действия Аттестатов. Теоретически данный переходный период должен завершиться 01.09.2024 и эта ремарка будет уже не актуальна.
Владелец объекта в случае необходимости модернизации аттестованного объекта обращается в орган по аттестации (Лицензиат ФСТЭК), который проводил аттестацию. Далее, если Владелец сам не может понять влияет модернизация на исходный уровень (класс) защищенности или нет, орган по аттестации консультирует его по дальнейшим действиям. Если уровень (класс) защищенности остается неизменным, проводятся дополнительные испытания и актуализируется документация на аттестованный объект. Если уровень (класс) защищенности меняется, то работа по Аттестации проводится заново, начиная от Акта Классификации и заканчивая выдачей нового Аттестата соответствия на объект.
Переаттестация и периодический контроль – принципиально разные процессы.
Периодический контроль – обязательный и регулярный процесс для аттестованного объекта.
Переаттестация проводится только в случае модернизации аттестованного объекта.
Иногда, в рамках проведения периодического контроля, Орган по аттестации может выявить необходимость проведения повторных аттестационных мероприятий.
Например, в рамках аттестованной ИСПДн будет обнаружена обработка новых категорий ПДн – раньше обрабатывались только иные, а добавились биометрические или специальные категории. Либо сильно возросло количество субъектов обрабатываемых ПДн. Обнаружение таких изменений, в свою очередь, потребует проведение переклассификации ИСПДн. Если по результатам классификации комиссия повысит уровень ИСПДн, то работы по аттестации придется проводить снова. Абсолютно аналогичная ситуация может встретиться в аттестованной ГИС, КИИ, Защищаемом помещении и т.д.
Владелец аттестованного объекта должен соблюдать несколько правил, дабы избежать щекотливых ситуаций:
Если у вас остались вопросы, с радостью дадим исчерпывающие ответы на них, просто нажмите кнопку ниже и оставьте заявку!